国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

1　工業(yè)控制系統(tǒng)安全的問題與挑戰(zhàn)

工業(yè)控制系統(tǒng)如SCADA系統(tǒng)、DCS系統(tǒng)和PLC等目前已廣泛應(yīng)用于工業(yè)、能源、交通、水利以及市政等國家關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，是工業(yè)自動(dòng)化的核心中樞神經(jīng)。近年來，隨著工業(yè)化和信息化融合的深度和廣度不斷加強(qiáng)，工業(yè)信息化的程度不斷加大，工業(yè)設(shè)備與互聯(lián)網(wǎng)的互聯(lián)互通面積就不斷增大，互聯(lián)網(wǎng)的惡意攻擊也就隨之而來。2010年第一款針對工控系統(tǒng)的病毒——震網(wǎng)病毒出現(xiàn)；2013年的斯諾登事件把網(wǎng)絡(luò)安全上升到了國家安全的高度；2015年底烏克蘭電網(wǎng)遭受攻擊，導(dǎo)致數(shù)百萬人在黑暗中渡過圣誕節(jié)。2016年以來接連發(fā)生了以色列電力系統(tǒng)被入侵、俄羅斯黑客公開發(fā)布“SCADA Pass”工控軟硬件設(shè)備默認(rèn)密碼清單等一系列工控安全事件，工控安全警鐘已經(jīng)敲響。

為保障工業(yè)控制系統(tǒng)的信息安全，2011年9月工業(yè)和信息化部專門發(fā)文《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號)，強(qiáng)調(diào)加強(qiáng)工業(yè)信息安全的重要性、緊迫性，并明確了重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全的管理要求。如何對工業(yè)控制系統(tǒng)進(jìn)行有效的安全防護(hù)，并滿足行業(yè)監(jiān)管機(jī)構(gòu)的要求，成為大多數(shù)行業(yè)用戶迫切需要解決的問題。

針對來自外部的網(wǎng)絡(luò)攻擊、移動(dòng)介質(zhì)擺渡攻擊以及系統(tǒng)內(nèi)部人員可能的誤操作、違規(guī)操作或惡意破壞性操作等安全風(fēng)險(xiǎn)，很有必要對工控網(wǎng)絡(luò)的訪問行為、協(xié)議內(nèi)容、操作指令等進(jìn)行監(jiān)控與審計(jì)，對高風(fēng)險(xiǎn)和異常行為進(jìn)行識別和告警。

2　工控網(wǎng)絡(luò)異常感知系統(tǒng)中應(yīng)用的異常檢測技術(shù)

睿航至臻公司研發(fā)的工控網(wǎng)絡(luò)異常感知系統(tǒng)作為一種安全預(yù)警產(chǎn)品，能夠在安全事件發(fā)生之前，對網(wǎng)絡(luò)中的異常行為、異常流量、惡意代碼、錯(cuò)誤參數(shù)與指令進(jìn)行預(yù)警，從而避免安全事件的發(fā)生，將工控系統(tǒng)的安全風(fēng)險(xiǎn)降到最低。

工控網(wǎng)絡(luò)異常感知系統(tǒng)以時(shí)間、空間和特征為基礎(chǔ)，對網(wǎng)絡(luò)流量和網(wǎng)絡(luò)行為進(jìn)行多維度、細(xì)粒度的分析，通過工業(yè)視圖和網(wǎng)絡(luò)拓?fù)湟晥D相結(jié)合的雙視圖監(jiān)控機(jī)制（如圖1所示），可同時(shí)對工業(yè)過程情況和網(wǎng)絡(luò)通訊指令及行為進(jìn)行監(jiān)控，呈現(xiàn)工控系統(tǒng)流量和行為，實(shí)現(xiàn)網(wǎng)絡(luò)連接拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)運(yùn)行狀況的可視化，并進(jìn)行對比分析，為對不符合業(yè)務(wù)流程的行為進(jìn)行檢測及APT攻擊研判提供有力支撐。

圖1 雙視圖監(jiān)控

2.1　網(wǎng)絡(luò)行為異常檢測技術(shù)

工控網(wǎng)絡(luò)異常感知系統(tǒng)以工控系統(tǒng)設(shè)備資產(chǎn)為基礎(chǔ)，以基于工業(yè)控制系統(tǒng)深度分析技術(shù)為核心，智能學(xué)習(xí)網(wǎng)絡(luò)業(yè)務(wù)行為，自動(dòng)為網(wǎng)絡(luò)合規(guī)業(yè)務(wù)行為安全建模，實(shí)現(xiàn)對網(wǎng)絡(luò)行為和業(yè)務(wù)操作的合規(guī)檢測，從而從合規(guī)的角度保證客戶網(wǎng)絡(luò)的業(yè)務(wù)安全。對可疑網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)監(jiān)控，全量存儲(chǔ)，多層次、多角度的關(guān)聯(lián)分析和比對分析，以發(fā)現(xiàn)違規(guī)行為，挖掘安全威脅源頭。如違規(guī)的私自接入和外聯(lián)、違規(guī)的內(nèi)網(wǎng)非法連接、攻擊產(chǎn)生的虛假IP發(fā)現(xiàn)、可疑主機(jī)發(fā)現(xiàn)和異常的網(wǎng)絡(luò)流量發(fā)現(xiàn)等。

（1）工控資產(chǎn)設(shè)備異常檢測技術(shù)

主動(dòng)和被動(dòng)相結(jié)合的設(shè)備精準(zhǔn)識別和拓?fù)渥詣?dòng)發(fā)現(xiàn)技術(shù)，對工控資產(chǎn)及網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，并建立IP資產(chǎn)基線。系統(tǒng)可對非法設(shè)備的接入及時(shí)發(fā)現(xiàn)并報(bào)警。同時(shí)，通過異常行為分析技術(shù)，進(jìn)一步核對資產(chǎn)設(shè)備的IP地址網(wǎng)絡(luò)信息、活躍狀態(tài)、協(xié)議流量分布、應(yīng)用信息、會(huì)話信息等信息。

（2）工控系統(tǒng)網(wǎng)絡(luò)秩序異常檢測技術(shù)

通過靈活的黑白灰策略配置和自學(xué)習(xí)技術(shù)，系統(tǒng)可智能梳理業(yè)務(wù)系統(tǒng)各個(gè)資產(chǎn)間的訪問關(guān)系，自動(dòng)生成業(yè)務(wù)訪問拓?fù)鋱D，形成業(yè)務(wù)訪問行為關(guān)系基線，能夠從業(yè)務(wù)行為的關(guān)系、方向、頻率、時(shí)間不同維度，來分析判斷業(yè)務(wù)訪問行為是否異常。通過采用黑、白、灰名單機(jī)制，判定某個(gè)流行為是否合規(guī)。

（3）網(wǎng)絡(luò)端口通信異常檢測技術(shù)

當(dāng)報(bào)文采集單元的某個(gè)有流量的網(wǎng)絡(luò)端口在指定時(shí)間內(nèi)沒有收到任何流量，系統(tǒng)能夠?qū)W(wǎng)絡(luò)端口通信超時(shí)（中斷）進(jìn)行預(yù)警。

（4）基于協(xié)議深度識別的網(wǎng)絡(luò)行為分析技術(shù)

系統(tǒng)可以對工控協(xié)議進(jìn)行深度內(nèi)容解析和識別，對協(xié)議中的工控指令和用戶行為進(jìn)行細(xì)粒度抽取，與業(yè)務(wù)和工藝過程進(jìn)行關(guān)聯(lián)，并進(jìn)行對比分析，從而有效支撐對不符合業(yè)務(wù)流程的行為進(jìn)行檢測。

2.2　網(wǎng)絡(luò)流量異常檢測技術(shù)

工控網(wǎng)絡(luò)異常感知系統(tǒng)提供網(wǎng)絡(luò)流量異常檢測功能，可以按照特定場景的連接頻次變化、上下行流量變化，動(dòng)態(tài)分析出當(dāng)前時(shí)刻網(wǎng)絡(luò)流量的正常運(yùn)行態(tài)勢，并通過與實(shí)時(shí)流量進(jìn)行對比，判斷出當(dāng)前流量的走勢是否異常。通過圖形化的流量實(shí)時(shí)運(yùn)行曲線，實(shí)現(xiàn)工控系統(tǒng)實(shí)時(shí)流量與異常流量的可視化。

（1）網(wǎng)絡(luò)線路流量與速率異常檢測技術(shù)

基于時(shí)間，按照同比和環(huán)比，系統(tǒng)可對網(wǎng)絡(luò)流量的速率進(jìn)行統(tǒng)計(jì)分析、查看、預(yù)警，并統(tǒng)計(jì)線路的總計(jì)流量、最大速率、平均速率、最大利用率和平均利用率。

（2）網(wǎng)絡(luò)資產(chǎn)設(shè)備流量與速率異常檢測技術(shù)

基于地址和端口，按照歷史流量基線，系統(tǒng)可對網(wǎng)絡(luò)流量統(tǒng)計(jì)分析、查看、預(yù)警，并統(tǒng)計(jì)資產(chǎn)設(shè)備的總計(jì)流量、最大速率、平均速率、最大利用率和平均利用率。

（3）網(wǎng)絡(luò)協(xié)議流量與速率異常檢測技術(shù)

基于應(yīng)用層、傳輸層、網(wǎng)絡(luò)層協(xié)議對上下行流量進(jìn)行分析、查看、預(yù)警，系統(tǒng)能夠統(tǒng)計(jì)協(xié)議的總流量、總數(shù)據(jù)包個(gè)數(shù)、上下行流量、數(shù)據(jù)包及其占比。如應(yīng)用層的GOOSE、MMS、SSH、HTTPS等，傳輸層的TCP和UDP，網(wǎng)絡(luò)層的IP、ICMP等。

系統(tǒng)能夠?qū)Ω婢透鞣N可視化圖標(biāo)中信息進(jìn)行下鉆，對流量進(jìn)行追溯，直至對原始pcap報(bào)文下載進(jìn)行人工分析，為事后取證、責(zé)任落實(shí)提供依據(jù)。同時(shí)，通過流行為和安全事件進(jìn)行交叉關(guān)聯(lián)分析技術(shù)，系統(tǒng)可發(fā)現(xiàn)更深層次的入侵和違規(guī)，并精細(xì)化事件優(yōu)先級。

2.3　網(wǎng)絡(luò)惡意代碼檢測技術(shù)

工控網(wǎng)絡(luò)異常感知系統(tǒng)能夠?qū)Σ《尽⑷湎x、木馬、DDoS、掃描、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等含有惡意代碼的攻擊行為進(jìn)行安全檢測，惡意代碼特征庫中包含3000多條惡意代碼特征條目，能夠精準(zhǔn)地發(fā)現(xiàn)電力工控系統(tǒng)中出現(xiàn)的惡意代碼攻擊行為。

系統(tǒng)能夠針對工業(yè)控制系統(tǒng)PLC、DCS等控制設(shè)備漏洞攻擊行為進(jìn)行識別和預(yù)警；能夠?qū)I(yè)控制系統(tǒng)中的HMI、SCADA應(yīng)用軟件漏洞攻擊行為進(jìn)行識別和預(yù)警；能夠?qū)I(yè)控制系統(tǒng)中常用的工控協(xié)議，如Modbus、OPC、IEC、PROFINET等工控協(xié)議的漏洞攻擊行為進(jìn)行識別和預(yù)警。

2.4　工控報(bào)文異常檢測技術(shù)

工控通信網(wǎng)絡(luò)報(bào)文已經(jīng)成為智能設(shè)備間信息交互和共享的主要方式，網(wǎng)絡(luò)報(bào)文的發(fā)送端、接收端及通信網(wǎng)絡(luò)異常或故障均可能導(dǎo)致電力系統(tǒng)重大事故，因此需要將網(wǎng)絡(luò)報(bào)文進(jìn)行有效監(jiān)視、記錄、解析，還原為對工控系統(tǒng)動(dòng)作行為，監(jiān)視工控系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)的健康狀態(tài)、分析和預(yù)警網(wǎng)絡(luò)安全故障，提前發(fā)現(xiàn)通信網(wǎng)絡(luò)的薄弱環(huán)節(jié)和故障設(shè)備，預(yù)防電力系統(tǒng)事故的發(fā)生，保障電力工控系統(tǒng)的安全可靠運(yùn)行。

（1）工控協(xié)議的DPI深度解析技術(shù)

系統(tǒng)通過DPI深度解析技術(shù)可對Modbus、OPC、IEC104、IEC61850等工業(yè)通信協(xié)議進(jìn)行解析。

（2）工控網(wǎng)絡(luò)報(bào)文異常檢測技術(shù)

系統(tǒng)通過對網(wǎng)絡(luò)報(bào)文序列異常與內(nèi)容異常檢測，分析電力工控系統(tǒng)網(wǎng)絡(luò)與功能的異常預(yù)警。

（3）工控系統(tǒng)配置與網(wǎng)絡(luò)行為檢測技術(shù)

工控系統(tǒng)設(shè)備根據(jù)自身的配置發(fā)送數(shù)據(jù)，工控網(wǎng)絡(luò)異常感知系統(tǒng)一旦檢測到設(shè)備網(wǎng)絡(luò)行為與配置不一致，便進(jìn)行預(yù)警。

2.5　工控系統(tǒng)安全建模技術(shù)

工控網(wǎng)絡(luò)異常感知系統(tǒng)自動(dòng)學(xué)習(xí)工控系統(tǒng)的業(yè)務(wù)行為，包括網(wǎng)絡(luò)秩序、流量大小、資產(chǎn)設(shè)備、工控指令與參數(shù)，建立工控系統(tǒng)所在環(huán)境的白名單安全模型，一旦出現(xiàn)非白名單的行為與內(nèi)容，進(jìn)行安全預(yù)警。

（1）行為列表建模

對關(guān)鍵路徑、關(guān)鍵資源的業(yè)務(wù)訪問鏈路、協(xié)議、流量、時(shí)間等進(jìn)行實(shí)時(shí)監(jiān)控，具備行為列表功能，可按有連接無數(shù)據(jù)、廣播包、行為的合規(guī)狀態(tài)等特殊條件對列表內(nèi)容進(jìn)行篩選，可在訪問行為的基礎(chǔ)上制定檢測策略，可對訪問行為進(jìn)行源目的IP、源目的端口和協(xié)議等字段進(jìn)行聚類分析。

（2）行為拓?fù)浣?/p>

對關(guān)鍵路徑、關(guān)鍵資源的業(yè)務(wù)訪問鏈路、協(xié)議、流量、時(shí)間等進(jìn)行實(shí)時(shí)拓?fù)湔故?，拓?fù)涔?jié)點(diǎn)可以下鉆，拓?fù)涔?jié)點(diǎn)和拓?fù)溥B線可以表示網(wǎng)絡(luò)流量和流速的大小，可以按IP地址、合規(guī)狀態(tài)、流量和流速等條件進(jìn)行交互式地查詢過濾。

（3）資產(chǎn)分析建模

對資產(chǎn)會(huì)話數(shù)量、資產(chǎn)總體數(shù)量、新發(fā)現(xiàn)資產(chǎn)告警、資產(chǎn)活躍情況、資產(chǎn)告警和分布進(jìn)行總體分析。

（4）業(yè)務(wù)分析建模

以業(yè)務(wù)系統(tǒng)為維度，可自定義需要關(guān)注的應(yīng)用，進(jìn)行可視化拓?fù)湔宫F(xiàn)，支持流量、流速和訪問關(guān)系的呈現(xiàn)。

3　工控網(wǎng)絡(luò)異常感知系統(tǒng)客戶價(jià)值

3.1　及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，減少系統(tǒng)停機(jī)時(shí)間

工控網(wǎng)絡(luò)異常感知系統(tǒng)能夠?qū)崟r(shí)檢測出針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播并實(shí)時(shí)報(bào)警，幫助客戶及時(shí)采取應(yīng)對措施，減少系統(tǒng)停車時(shí)間。

3.2　為安全事故的調(diào)查，提供詳實(shí)的數(shù)據(jù)支持

工控網(wǎng)絡(luò)異常感知系統(tǒng)能夠詳實(shí)記錄一切網(wǎng)絡(luò)通信行為，包括指令級的工業(yè)控制協(xié)議通信記錄，并且提供了簡便易用的回溯功能，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供了堅(jiān)實(shí)的基礎(chǔ)和手段，改變以往工業(yè)控制系統(tǒng)出了安全事故無法取證、調(diào)查無從下手的被動(dòng)局面。

3.3　通過網(wǎng)絡(luò)通信可視化，提高工控網(wǎng)絡(luò)運(yùn)維效率

工控網(wǎng)絡(luò)異常感知系統(tǒng)通過將工控網(wǎng)絡(luò)的通信行為可視化，并提供友好的用戶界面，人性化的統(tǒng)計(jì)報(bào)表，極大地提高了企業(yè)工控網(wǎng)絡(luò)管理的效率，使企業(yè)工控網(wǎng)絡(luò)管理簡單易行，從而降低工控網(wǎng)絡(luò)的運(yùn)維成本。

4　結(jié)束語

工控網(wǎng)絡(luò)異常感知系統(tǒng)采用網(wǎng)絡(luò)拓?fù)浜凸I(yè)過程監(jiān)控的雙視圖監(jiān)控，能夠?qū)崟r(shí)檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲、病毒等惡意攻擊并給出實(shí)時(shí)報(bào)警，同時(shí)詳實(shí)、準(zhǔn)確記錄工業(yè)控制網(wǎng)絡(luò)中發(fā)生的各種行為和操作，為事后分析、問題查找和事故追責(zé)等提供記錄和依據(jù)。工控網(wǎng)絡(luò)異常感知系統(tǒng)是專門針對工業(yè)控制網(wǎng)絡(luò)的信息安全監(jiān)控與異常檢測系統(tǒng)，可應(yīng)用于電力、石油石化、精密制造、軌道交通等多個(gè)行業(yè)。

作者簡介：

張曄，男，現(xiàn)任北京睿航至臻科技有限公司能源事業(yè)部總經(jīng)理，兼任工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟專家委員會(huì)委員，有18年信息安全從業(yè)經(jīng)驗(yàn)。主要成果：發(fā)明了 “現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)”和“動(dòng)態(tài)安全保障體系模型”，發(fā)表過如《工業(yè)控制系統(tǒng)安全體系架構(gòu)與管理平臺(tái)》、《論信息系統(tǒng)安全“四化”建設(shè)》、《信息安全動(dòng)態(tài)保障體系建設(shè)探討》、《工控系統(tǒng)安全理念與解決方案》、《生產(chǎn)企業(yè)信息系統(tǒng)安全技術(shù)指引》等二十幾篇論文或文章，其中《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)方案》榮獲國家信息安全標(biāo)準(zhǔn)優(yōu)秀應(yīng)用案例獎(jiǎng)。

摘自《自動(dòng)化博覽》2019年4月刊